"كيمسوكي" تشن هجمات ببرمجيات HTTPSpy وHelloDoor

كشفت تقارير عن قيام مجموعة "كيمسوكي" بشن هجمات إلكترونية جديدة استهدفت جهات عسكرية وشركات في كوريا الجنوبية باستخدام برمجيات خبيثة متطورة.

من هي مجموعة "كيمسوكي" وما هي أهدافها الأخيرة؟

تُعرف مجموعة "كيمسوكي" (Kimsuky)، والتي يشار إليها أيضاً باسم Velvet Chollima، بأنها جهة تهديد مدعومة من جهات خارجية، وقد رصدت تيكبامين نشاطاً مكثفاً لها خلال شهري مارس وأبريل من عام 2026.

استهدفت هذه الحملة بشكل مباشر الكيانات العسكرية والشركات الكبرى، حيث استخدم المهاجمون تكتيكات متطورة في الأمن الرقمي تعتمد على الهندسة الاجتماعية لخداع الموظفين والإداريين.

أبرز أساليب التمويه المستخدمة:

• انتحال صفحة تثبيت برامج الأمان الرسمية.
• تزوير صفحات اجتماعات منصة ويبكس (Webex) الشهيرة.
• استخدام جداول اجتماعات حقيقية لزيادة المصداقية.

كيف تتم هجمات HTTPSpy وHelloDoor الجديدة؟

اعتمدت المجموعة على نشر متغيرات من برمجية تُعرف باسم HTTPSpy، حيث يتم تقديمها للمستخدمين على أنها مثبتات لبرامج أمان كورية جنوبية موثوقة، وهو نهج تتبعه المجموعة منذ عام 2023 لضمان اختراق الأنظمة.

في حملة مارس 2026، قام المهاجمون بإنشاء صفحة ويب مزيفة تنتحل صفحة تثبيت برامج الأمان لخدمة رسائل مخصصة للشركات (B2B)، مما يشير إلى أن الهدف كان استهداف مديري أنظمة المراسلة داخل البيئات المؤسسية.

الملفات الخبيثة المكتشفة في الهجوم:

• ملف nos-setup.exe: ينتحل برنامج nProtect Online Security.
• ملف astx-setup.exe: ينتحل برنامج AhnLab Safe Transaction (ASTx).
• ملف MemLoader.dll: حمولة المرحلة الثانية التي تضمن البقاء في النظام.

بمجرد قيام المستخدم بتحميل وتشغيل هذه الملفات، يتم إطلاق ملف DLL الخبيث عبر أداة النظام regsvr32.exe، ومن ثم يقوم نص برمجـي (Batch Script) بحذف الملفات الأصلية من القرص لإخفاء أثر الهجوم، بينما يتصل الملف بمركز التحكم (C2) لتلقي أوامر إضافية.

ما دور منصة "ويبكس" في حملة أبريل 2026؟

وفقاً لما تابعته تيكبامين، شهد شهر أبريل حملة أخرى استخدمت صفحة ويب مزيفة لمنصة سيسكو ويبكس (Cisco Webex)، حيث تظهر رسالة منبثقة تحث الضحية على تحميل نص برمجـي لإصلاح مشكلات الوصول إلى الكاميرا.

يؤدي هذا الإجراء إلى تحميل أرشيف ZIP يحتوي على ملف جافا سكريبت مشفر (JSE)، والذي يقوم عند تنفيذه بسلسلة من العمليات المعقدة تشمل:

• استخدام PowerShell لتحميل أداة تنزيل وسيطة.
• إجراء فحص لمنع التحليل وكشف البيئات الافتراضية.
• الاتصال بخادم التحكم لجلب المرحلة النهائية من البرمجيات الخبيثة.

كيف تحمي مؤسستك من تهديدات الأمن الرقمي المتطورة؟

تُظهر هذه الهجمات أن مجموعة كيمسوكي تعمل باستمرار على تطوير ترسانتها الرقمية، حيث لم تكتفِ ببرمجية HTTPSpy بل أضافت أدوات مثل HelloDoor واستغلال قنوات VS Code Tunnels لتسهيل الوصول عن بُعد.

إن الوعي بأساليب الهندسة الاجتماعية وتجنب تحميل البرامج من مصادر غير رسمية يظل خط الدفاع الأول، وتؤكد هذه التطورات على ضرورة تحديث أنظمة الأمن الرقمي بشكل دوري لمواجهة هذه التهديدات المتلاحقة التي تستهدف البيانات الحساسة والبنية التحتية للمؤسسات.